BANCO DINERS CLUB DEL ECUADOR S.A., ha sustentado la gestión de este tipo de riesgo en lo dispuesto en la Codificación de Resoluciones de la Superintendencia de Bancos. Toda la documentación que la Superintendencia de Bancos ha solicitado se encuentra levantada e identificada. Se construyó una estructura documental para asegurar el cumplimiento de lo normado por el organismo de control.
La entidad considera como aspecto importante el adecuado manejo del Riesgo Operativo, en función de ello cuenta con una aplicación que le permite centralizar y documentar los procesos de la institución. Y con base en ello construye una matriz de riesgos, asegurando de esta manera la integridad y completitud de los subprocesos presentes en dicha matriz de riesgos. Está aplicación le permite a la entidad administrar la matriz de riesgos considerando la metodología de calificación aprobada por la organización.
0 20 40 60 80 100 1er trim. 2do trim. 3er trim. 4to trim. Este Oest e
Asimismo, la Entidad Financiera mantiene el Reglamento de Administración de Subprocesos y Estándares de Administración, que norma las responsabilidades y condiciones que deben observar las diferentes áreas de la organización para documentar y mantener los subprocesos actualizados en la herramienta de riesgo operativo.
Además, la Entidad Financiera cuenta con una Metodología de Definición de Indicadores Claves de Riesgo KRI´s, que tiene la capacidad de alertar cambios en los umbrales o perfil de riesgo en la organización, lo que ayuda a la reducción de pérdidas y estimación de potenciales riesgos. BANCO DINERS CLUB DEL ECUADOR S.A., cuenta también con un software de Riesgo Operativo, que está formado por tres módulos interdependientes (aplicativo, módulo web y diagramador), y permite administrar el inventario de procesos y monitorear los riesgos identificados a través de la matriz de riesgos.
Así mismo la entidad ha desarrollado un modelo de cuantificación de riesgo operativo, que permite la determinación de un monto aproximado de la provisión de Riesgo Operativo. Este modelo de cuantificación fue revisado y aprobado conforme lo requerido por el Comité Integral de Riesgos y el Directorio de la organización. Así mismo ha realizado la actualización del modelo original mediante la inclusión de nuevos eventos materializados ocurridos en el 2016. Con esta base la administración de la entidad logró definir los límites de apetito y tolerancia de Riesgo Operativo.
Debido al incremento del volumen de operaciones y la complejidad del negocio, la Entidad Financiera depende de los sistemas de información, por lo cual ha establecido un plan operativo y tecnológico en el que se detallan específicamente las actividades que se deberán llevar a cabo para enfrentar las contingencias y así permitir la recuperación y continuidad del negocio.
Con respecto a la gestión de Continuidad de Negocio, se debe mencionar que la entidad prueba y actualiza anualmente el Plan de Continuidad de Negocio, de tal manera que cualquier cambio en los procesos o el negocio se consideren en este esquema la supervivencia organizacional. En función de ello durante el 2016, la entidad definió el Modelo de Gobierno, el mismo que se encuentra sustentado en el Modelo de Gestión y la política de Continuidad de Negocio, adicionalmente evaluó los servicios y procesos de la organización, determinando y ratificando la criticidad de los mismos, basados en la metodología ISO 22301.
La Gestión de Seguridad de Información forma parte de la Administración de Riesgo Operativo, el tratamiento del riesgo para los recursos de información es manejado mediante un Plan Integral de Seguridad, que incluye a la seguridad lógica, física y de personas bajo el cual se encuentran detallados proyectos que permiten realizar y ejecutar análisis de riesgos de seguridad y de esta manera definir planes de acción que coadyuven con la mitigación de este tipo de riesgos.
BANCO DINERS CLUB DEL ECUADOR S.A., mantiene una Política de Seguridad de Información, la cual establece los lineamientos orientados a garantizar y preservar la información organizacional en base a los principios de Seguridad de la Información (confidencialidad, integridad y disponibilidad), y que están en concordancia con los requerimientos del negocio, leyes y regulaciones vigentes. En esta política se señala el cumplimiento de los requerimientos establecidos por PCI DSS, normativa que define el conjunto de requerimientos para gestionar la seguridad, con el propósito de reducir el riesgo de comprometimiento de información confidencial de los tarjetahabientes, se alcanzan los objetivos del negocio y se evitan, o bien, detectan y tratan los eventos no deseados.
La Organización ha creado una cultura de seguridad en sus colaboradores, a través de campañas de concienciación en el manejo de la información, comunicación de políticas, procedimientos, controles y mejores prácticas de Seguridad de la Información, lo que garantiza el buen manejo de la información de los socios y reduce el riesgo de fraude con tarjetas de crédito.
BANCO DINERS CLUB DEL ECUADOR S.A., ha implementado medidas de seguridad para mitigar el riesgo de fraude por el uso de la tecnología de información y comunicaciones, trabajando en los mecanismos de accesos mediante autenticación por doble factor, en los portales web de las tarjetas de crédito. De igual forma, dentro de las políticas de seguridad de la información, se indica que la entidad cuenta en todos sus canales electrónicos
con hardware de seguridad perimetral y dispositivos criptográficos, con el propósito específico de generar y validar claves para transacciones y procedimientos para monitorear, controlar y emitir alarmas que informen oportunamente eventos inusuales, fraudulentos o fallas. Al 31 de diciembre de 2017, la entidad ha implementado las definiciones establecidas en las resoluciones JB-2012-2148 y JB-2014-3066 del ente de control.
Respecto a la prestación de servicios por parte de terceros, la Entidad Financiera cuenta con una matriz de proveedores, que define su criticidad y establece proveedores de contingencia, previamente calificados con lo estipulado en la política de compras de la empresa y el reglamento de selección y calificación de proveedores. De este modo se garantiza la capacidad de los proveedores para suministrar productos y/o servicios de acuerdo con los requisitos de calidad, control y fidelidad especificados por La Entidad Financiera.
En relación a la administración del riesgo, el Comité de Administración Integral de Riesgos (CAIR) está conformado por los siguientes miembros: Presidente ejecutivo, Responsable de la Gerencia Nacional de Riesgos, Gerencia Nacional Centro de Servicios, Gerencia Nacional de Planeación y Finanzas, Vocal del Directorio y Auditor Interno. El CAIR aprueba el marco en el que se desarrolla la Administración Integral de Riesgos de la institución, es decir: organización, identificación, medición, control, esquemas de información y monitoreo de los riesgos que se asuman. BANCO DINERS CLUB DEL ECUADOR S.A., trabaja con una matriz de riesgos como herramienta de control y gestión, la cual es utilizada para identificar los riesgos inherentes relacionados a los subprocesos, procesos y macro procesos, así como para evaluar la efectividad de una adecuada gestión y administración de los riesgos que pudieran impactar negativamente en los objetivos de la institución.